آلية عمل برامج الـ (Anti.Virus)، وماهية (Encryption) والعلاقة بينهما


(Anti.Hack) #1

السلام عليكم ورحمة الله وبركاته… كل عام وأنتم بخير إن شالله.

أولا أنا عضو جديد هنا معكم في هذا المنتدى(وعضو جديد في الجامعة) وإن شالله استفيد وإذا في مقدوري راح أفيد،،

وأبيكم تسامحوني على أي تقصير في الموضوع لأنه راح يكون أول موضوع :slight_smile:



بسم الله نبدأ…

الموضوع سيكون نظري بحت، هدفه التعريف بفهوم التشفير وآلية عمل برامج الحماية.

،،

يعتبر امتداد exe من الامتدادات التنفيذية المشهورة جدا التي يعتمدها نظام Windows من Microsoft, بالمقابل لا تدعمها أنظمة Linux .

وهذا الامتداد يعتبر من أخطر الامتدادات على المستخدم، إذ إن غالبية الفيروسات الانترنتية تكون بهذا الامتداد, ولا تناقض في وجود امتدادات أخرى.

تعمل برامج الـ AntiVirus كدرع واقي من هذه الفيروسات، إذ إن لهذه البرامج القدرة على تمييز الملف الحميد من غيره.!

لكل ملف مهما كان نوعه وامتداده توقيع رقمي خاص به يتميز به عن غيره, ومن أشهر اللغات التي تقوم بترجمة هذه التواقيع هو نظام التوقيع الرقمي Hex السداسي عشري…

كل ملف تنفيذي له قيم من قيم Hex تكون فعالة وتختلف من ملف لآخر… ومن خلال هذه التواقيع تستطيع برامج الحماية تمييز الفيروسات ( الملفات غير الحميدة) من غيرها…

مثل أي ملف آخر فإن للفيروسات تواقيع رقمية, ومن خلال هذه التواقيع يتم تعريف ذلك الملف كفيروس, حيث تقوم برامج الحماية باختيار قيمة معينة في أوفست معين لهذا الفيرس، ذلك مع الأخذ بالحسبان حجم الفيرس، ونوعيته… الخ.

هنا يأتي دور الهكرز، تعتمد عملية التشفير (Encryption) أساسا على تغير التواقيع الرقمية لهذه الفيروسات، فعند تغير التوقيع بشكل صحيح سيمر ذلك الملف من أمام برامج الحماية كأي ملف آخر وهنيئا مريئا له J.

وتعتبر شركة Kaspersky منتجة برنامج (Kaspersky Anti Virus)، من أشهر وأنجح وأدق الشركات في إختيار هذه التواقيع، يخوض المعركة معه برنامج Mcafee وبرنامج Avast…

حيث أن للدب الروسي (كاسبرسكاي) خاصية رائعه في هذا المجال، إذ أنه يقوم بإختيار أكثر من توقيع للفيروسات الخطرة، أي عندما يقوم الهكر بتغير جزء من توقيع الفيروس سيظل كاسبرسكاي يتعرّف على الملف كفيرس، إضافة إلى ذلك فإن أماكن ومواقع الشفرات التي يختارها كتوقيع تكون صعبة الكشف وفي أماكن متفرقة وبعيدا عن الأوفست رقم (1024) الذي تبدأ معظم البرامج بعملية Scan من عنده.

ينطبق ما قلناه على كاسبر في برنامج مكافي وبرنامج أفاست…

وكوجهة نظر شخصية، أفضل كاسبرسكاي في هذا المجال عن البرنامجين السابقين، لكثر ما تحويه قاعدة بيناته DataBase من تصنيفات عديدة لفيرس معين، نتيجة تشفيره من الهكرز ثم كشفه وبتصنيف جديد.

إذ أنني خضت مضمار كبير في تشفير أحد برامج الإختراق وهو بالتحديد Beast2.07…

فكلما كنت أغير توقيعه لتشفيره ألاحظ أن أول البرامج سرعة في كشفه هو برنامج كاسبر، ومن التصنيفات التي عرّفها لهذا الفيرس ما يلي:

لا زلت أتحدث عن وجهة نظري الشخصية، وأقول أن برنامج Norton و برنامج Bit Defender قد يكونان ضعيفان من هذه الناحية، حيث أن برنامج Bit Defender يقوم بإختيار الكود ذو الأوفست 1024 غالباً للملفات التي يزيد حجمها عن 80 KB , مما يسهل عملية تشفير الفيروسات أمامه، كذلك أحيانا يقوم بتعريف أكثر من توقيع لفيرس معين ولكن عند تغير أحدها فإنه غالبا لا يستطيع تعريف الملف كفيرس ( يعني لا فائدة من وجود هذه الخاصية لديه), أما بالنسبة لـ Norton فكم من مرة أقوم بتشفير سيرفر معين من الكاسبر وأجده قد تشفر أيضا من النورتن (لأنه يختار قيم مشتركة أحيانا مع kasper), لكنه يبقى عملاق من عمالقة الحماية.

ملاحظة: تذكر أن لكل شركة حماية توقيع لفيرس معين يختلف عن الشركة الأخرى.

والآن ما هي لوغارتمية UPX و FSG ، stub! ولماذا كانت تستخدم لتشفير الفيروسات؟؟! J

UPX و FSG و ASpack وغيرها عبارة عن بريمجات صغيرة أو بالأحرى طرق رقمية تستخدم لضغط ( تقليص الحجم) الملفات التنفيذية وبالتالي تشفيرها، حيث أن لأداة UPX القدرة على تقليص حجم ملف بنسبة 85% (بتجربة)، فعند قيام الهكرز بضغط فيرس معين بهذه الأدوات فإن التوقيع الرقمي لهذه الفيرس وحجمه سوف يتغيران كليا، وبالتالي عدم قدرة برامج الحماية بالتعرف عليه!

كيف استطاعت برامج الحماية التخلص من مفعولية هذه الطرق التشفيرية؟

في حقيقة الأمر, عندما نقوم بضغط فيرس معين بواسطة أداة UPX، فإن ذلك يؤدي لتكوين stub أو بصورة أبسط يؤدي لتكوين غلاف على ذلك الفيرس!، إذ إن التوقيع الأصلي للفيرس لا يتغير ويضل مختبئ تحت غلاف UPX ، هنا جاء دور برامج الحماية…!

حيث أن هناك صراع مستمر بين الخير والشر،، قامت برامج الحماية بفك لوغارتمية الضغط بالـ UPX واستطاعت التعرف كليا على الـ stub الخاص بهذه اللوغارتمية, أي أنها تستطيع كشف أي فيرس مضغوط بهذه الطريقة كأن لم يضغط بها. ( كأنْ لم) فيها إدغام بدون غنة خخ.

تعطل المراقبة الأوتماتيكة في برامج الانتي فيرس ما سببه؟

يكاد لا يخلو برنامج اختراق من خاصية تدعي بـ ( قتل برامج الحماية) – Kill AV-, وذلك حتى لا يستطيع برنامج الحماية الموجود في جهاز الضحية من تحديث قاعدة بياناته وبالتالي إزالة الفيرس,

تقوم معظم برامج الاختراق بهذه العملية بتعطيل برنامج الحماية في السيرفيس وبعضها الآخر يقوم بتحرير ملف المراقبة التنفيذي (exe) وترتيب قيمه عشوائيا وبالتالي احداث خلل فيه وعدم قدرته عمل Boot (أقلاع).

،،

ذلك قولكم بأفواهكم والله يقول الحق

والحمد لله

أخوكم

Anti.Hack


(جنرال الهندسه) #2

مشكور على الموضوع الرائع … وجعله الله في ميزان حسناتك


(ابو صداح) #3

عمل متقن للغايه
يؤخذ عليك في ترتيب الفكره لكن يضل الموضوع من اقوى المواضيع الشامله اللتي قرأتها في مروري على هذه المواضيع طبعا بعض مواضيع مـهـون;)
واتصور انك تعرفه
تشكر على المجهود //قد يكون لنا لقاء اخر عما قريب //


(انشودة المطر) #4

مجهود تشكر عليه اخي Anti.Hack

بالفعل موضوعك شيق الى الأمام دائما


(الوزير) #5

مشكووووووور وما تقصر اخي Anti.Hack

واهلا بك في منتديات المهندس


(Anti.Hack) #6

العفو إخواااني ،،، وان شالله استفدتم
الله الموفق
دمتم سالمين


(Ali5621) #7

بارك الله فيك أخي الكريم Anti.Hack


(Anti.Hack) #8

وبارك فيك ان شالله اخي علي وتسلم على مرورك


(system) #9

شكرا يا anti.hack
وبالله تكفى زدني في هاالموضوع لان عندي بحث فيه الاسبوع القادم
وهو كيفية عمل برامج مكافحة الفيروسات آلية عملها في طرد الفيروسات
بصراحة بحثت في كل مكان ماحصلت إلا هذا واطلب من الله ثم منكم المساعدة .

وشكرا
بارك الله فيكم
وبارك الله لكم وكثر الله من أمثالكم


(doren) #11

مشكورررررررررررررررررررررررررررررر اخي المحترم